Ważny komunikat Orange. Uwaga na "problemy z płatnością"

Orange ostrzega przed nietypowym oszustwem, na które można trafić w sieci podczas rezerwacji pobytu w hotelu, tutaj za pośrednictwem serwisu Booking. Ktoś podszywa się pod obsługę hotelu i wysyła komunikat o "problemie z płatnością", ale cały atak zaczyna się od infekcji oprogramowaniem Vidar.

Orange opisuje wszystko na blogu, na przykładzie autentycznego przypadku znajomego jednego z pracowników. Problem polega na otrzymaniu spreparowanej wiadomości z fałszywym wezwaniem do ponownej zapłaty za rezerwację pod pretekstem "problemu z płatnością". Wiadomość może budzić zaufanie, bo teoretycznie jest wysyłana przez sam hotel, za pośrednictwem systemu do obsługi rezerwacji z serwisu Booking. Odbiorca działający machinalnie może więc założyć, że komunikat jest autentyczny, bo wyświetla go oficjalna aplikacja, a nadawcą jest obsługa hotelu.

Niestety jednak, tak jest tylko w teorii. Atak zaczyna się bowiem dużo wcześniej - od manipulacji w skrzynce e-mail pracowników hotelu. Oszuści przygotowują wiadomość, w której "grożą" hotelowi publikacją niepochlebnej opinii o warunkach, jakie mieli zastać podczas pobytu. Nadawcy tak przygotowują treść, by jednoznacznie zachęcić obsługę do sprawdzenia załącznika, gdzie mają znajdować się zdjęcia i filmy na dowód kiepskich warunków, jakie miały panować w obiekcie. Pobierając ważący kilkaset megabajtów załącznik, recepcja nieświadomie infekuje komputery oprogramowaniem Vidar.

Dalsza część artykułu pod materiałem wideo

Vidar to tak zwany infostealer, najczęściej kojarzony z fałszywymi fakturami i znany od lat. Zainstalowany w komputerze nie daje o sobie znać, ale potrafi wykradać szereg danych i przesyłać je na serwery atakujących. W przytaczanym przypadku infekcji komputera obsługi hotelowej można zakładać, że wśród wykradanych danych są te uwierzytelniające dostęp do obsługi rezerwacji z serwisu Booking (lub jakiegokolwiek innego tego rodzaju). Wysyłka wiadomości w imieniu hotelu do potencjalnych gości jest na tym etapie formalnością.

Orange przestrzega, by uważać na takie przypadki, chociaż trudno jest je wykryć. Podstawową zasadą jest dokładna analiza wszystkich łączy, które pojawiają się w komunikacji - najczęściej link do płatności tylko przypomina autentyczny i nawet jeśli pojawia się w nim znana fraza (tutaj "booking"), uwagę powinny przykuć zwłaszcza pozostałe znaki, w tym domena, w której osadzony jest cały adres.

Jeśli z jakichkolwiek przyczyn hotel prosi o ponownie płatności, zacznijmy od ręcznego sprawdzenia stanu konta w banku by samodzielnie sprawdzić, czy pieniądze zostały pobrane z rachunku. W następnym kroku warto skontaktować się z hotelem na własną rękę, na przykład telefonicznie bo uzyskaniu odpowiedniego numeru z niezależnego źródła - a nie z wiadomości, która budzi nasze podejrzenia. Finalizując "zapłatę" na spreparowanej stronie płatności można tylko stracić pieniądze, a w najgorszych przypadkach przekazać dane logowania atakującym, co może prowadzić nawet do utraty całych oszczędności z konta.